2017年9月16日土曜日

WordCamp Tokyo 2017 に参加して(一日目 セッションDAY) #wordcamp #wctokyo

今回の WordCamp Tokyo 2017 の会場は西新宿にあるベルサール新宿グランドコンファレンスセンターでした。
ホテルは少し高いですが近場がいいなぁと思って、ホテルローズガーデン新宿にしました。ちょうど期間限定の安いプランがあったので、それに乗っかりました。西新宿駅(メトロ)の1番出口から左手に少しいったところにあります。新しい別館ではなかったのは残念でしたが、部屋は小さいものの、夜も静かで快適に過ごせました。ただ、「Wi-Fi の暗号が WEP かい!?」「ベッド付近は届きにくいぞ〜」ということはありましたが、まぁ許容範囲です。しかし高いので、次回以降同じ会場なら遠くてもいいので、もう少し安いところにしようと思ったのでした。

前日入り



朝からでようと思うと辛い(一日のイベントならまだしも二日あるので)ので、前泊することに。夕方に、六本木にあるスヌーピーミュージアム東京ってところを見てきました。夕食は、知人がオススメしていた池袋にある美そ乃で焼肉を堪能しました。いろいろな部位を楽しめるということで、19部位を食べたのですが、とてもジューシーで美味しかったです!予算は5000円ぐらいを見ておくとよいです。確かに高いですが霜降り肉を含む焼肉をお腹いっぱい堪能するなら、リーズナブルだと思います。一人でぶらっと入っても大丈夫というのがいいですね! 


9月16日(セッションDAY)



朝から近場のジョナサンでモーニングセット!

WordCamp は東京、関西、京都の3つだけしかいってませんが、いずれも会場までの道順をストリートビューのような形で案内してくれるのは、超方向音痴な筆者にとってありがたいです!前日から何度か迷いましたよ! 西新宿駅からホテルローズガーデン新宿までいくのに、Google Map くんの現在位置がかなりずれていて、目の前にホテルがあったにも関わらず、通過して警察署付近で「あれ〜おかしいなぁ」とかいってました。思わず警察署の外にいた警察署の方に聞いてしまいそうになるのをぐっとこらえて探しましたとさ....





スポンサーブースで配っている粗品の質が高すぎる!!
モバイル充電器やTシャツまで配っているところがありましたよ!

YAT さんに久々にあってまずは一言、「他の人が壺セッションやってますよ!」でした。何?って人は「YAT 壺」で検索してみてね (^^;(本人の名誉のために一言、真に受けないでください、よく知る仲間達の冗談ツイートです)




ランチチケットは売り切れたらごめんという配布方法なので早速ゲット!

ネットが接続できないのが痛かった。WEB認証のようですが、それが通らない。おそらくコネクション数がオーバーしたのでしょう。仕方なしに手持ちの Wi-Fi を使ってみるも電波競合でおそすぎる〜。

開会挨拶




実行委員長からの挨拶。日本でこれまで開催された WordCamp は 8つ!
東京は横浜と合わせて10回目だそうな。

さて以下のセッションはいつもどおり、発表された内容、発言を筆者の理解の元、速記したものです。#や→ は筆者のコメントになります。そのため、筆者の理解がおかしくて発表者の意図しない内容になってしまうことがあるかもしれません。

プログラム



Gutenberg が切り開くWordPress の新UX



まずは Gutenberg(グーテンベルグ)の紹介。WordPress に新しく採用される予定のエディタのコードネームとのこと。何故 Gutenberg なのかは、WordPress の共同創設者である Matt 氏が https://ma.tt/2017/08/we-called-it-gutenberg-for-a-reason/ で説明されてます。
# 少し前に Matt 氏が、 ライセンス問題で Gutenberg に React の採用を止めるといったことで記憶にあたらしいかもしれません。

WordPress の使命は、Publishing Democratization だ! 日本語で説明するのは難しいが、Democratization は自由という意味で捉えてもらうとよいと思う。
# 公開の自由ということか。

この Gutenberg はこれまでテキストの回り込みなど HTML モードでゴニョゴニョせざるをえなかった部分が不要になるよ!

WordPress が取り組んでいる3台プロジェクト
  • エディタ
  • カスタマイザー
  • REST API
最近のカスタマイザーは、サイトの基本部分をサイトをみながら編集できるようになっている。
# 下記のような感じ。

いろいろカスタムできるようになってきたので、今後はカスタマイザーをベースに、これを拡張するプラグインがでてくるのではないか。

React


BSDライセンスだが、特許関係で Facebook を訴えたらライセンス無効にしますよという条項が入っている。その程度だと大丈夫だと思われがちだが、WordPress は「自由」をとても大事にしているため、少し前に Matt 氏で Gutenberg に React の採用を止めるといっているということ。

Gutenberg のダウンロード


もうプラグインとしてダウンロード可能になっているということ。
まだ完成ではなく、開発が進められている感じ。是非使ってフィードバックもらえると嬉しいということ。
# また試してみなくちゃですね!

安全なプラグインに必要なこと ~脆弱性届出状況に見る傾向と対策~





プラグインの脆弱性が目立つようになってきている。
すでに修正されているが、 Simple Custom CSS and JS に XSSの脆弱性があった。
$_GET['language'] で受け取ったデータをそのまま出力してしまっていた!

3.4 より esc_attr(strtolower($_GET['language'])) のように esc_attr によってエスケープしていた。

Simple Custom CSS and JS の脆弱性のある古いバージョンを使っている人は、7月24日時点であだ半数近くある!

# WordPress のこの手のエスケープ用に特別な関数が用意されているので利用すると良い。esc_html, esc_attr, esc_url、esc_sql、esc_js、esc_textarea などなど。
# 筆者のプラグイン開発者だが、データを取得する段階でエスケープ、出力するときにも念のためエスケープして予期せぬ形で出力や処理されないようにチェックを心がけている。

開発者向けツール


RIPS, PHPSCAN、WPScan、php-code-scanner などがあるので活用しよう!

脆弱性を作り込まないために、 Plugin Developer Handbook を読んで既知の脆弱性事例を知っておこう。
報告を受ける窓口を作っておこう
# Twitterでもなんでもいいので、開発者は連絡を受け取れる窓口を作って欲しいということ。私もそう。プラグインに脆弱性があったり、バグがあったときにそのプラグインを使いたいときに作者に連絡できないケースもある。結局使えないプラグインになってしまうケースがある。

古いバージョンのプラグイン(長時間更新されていない、アクティブに更新していない)は脆弱性への対応がされないので、利用は注意!
更新が2年以上滞ると WordPress のプラグインサイトで警告メッセージが表示されるので分かりやすい。

昨年度の脆弱性報告を受けた WordPress プラグインの最終更新日をみたら、半分ぐらいは2年以上更新されていないプラグインだった。

WordPress ホスティングサービスによっては、何らかの問題のあるプラグインをブラックリストとして公開されているところもある。

質問)テーマに含まれている脆弱性もあるのでは?
テーマも勿論注意が必要。ただ届け出はプラグインが圧倒的に多い。
おそらく報告者はプラグインのほうに注目してしまっている傾向にあると思う。

ランチアンカンファレンス



といっても懇親会のようなもの。何故かエンジニアばかりのテーブルに・・・筆者もエンジニアなので話が結構盛り上がった (^^; WP-cron は発火タイミングをしらなくて、昼間にバックアップが走ってサイトが重くなったとか、あるある事例...

おすすめのテーマ & プラグイン(アンカンファレンス)


なんとなくオススメのテーマやプラグインのレパートリーを増やしたいなぁと思って参加してみました。最初は人数が数人だったのですが、始まってみるとかなり埋まってました。まず最初に GPL と 100% GPL についての説明を主催者側から説明された。
20分ごとに何度か席替えをしてディスカッションを繰り返す感じ。参加者メインで進めるグループディスカッションがアンカンファレンス。

テーマについて


_S テーマ + (Bootstrap)
スタイルがないテーマなので、これをベースにテーマを制作するほうがし易い
下手にスタイルが最初からあるテーマだと修正するのがややこしいから。

プラグインについて


Google Apps Login(Googleアカウントでログインできる)
EWWW Image Optimizer(画像最適化)
updraft plus(バックアップ)
WP SiteManager(キャッシュ)
BackWPUP(バックアップ)
Ace IDE(テーマやプラグインのコーディングを便利にする)
Page Builder by Site origen 
All-in One WP Migration(バックアップ、サーバー移行 - 500MBまで無料)
SaveEditor ScrollPosition(更新等するときにいちいち一番トップにいかずにすむ)
SNS Count Cache(SNSのカウントをする)
SiteGuard(サイトを守るセキュリティ対策)

その他ものすごい数のプラグインをみんなかきまくっていた。
自身がよく使っているものと印象に残ったものをメモっておく。

Google Apps Login の使い方については、今回紹介して好評だったので、改めて 2017年9月16日現在に実際に試したものをマニュアルとして起こしました。
を見てもらえれば、だれでも使うことができるでしょう。

というマニュアルをまとめるのを、下記のセッションに参加しながら実証しながらやってました。ので下記のセッションは流し聞きになってしまいました。でもまぁ、Google アカウントでのログインは纏めたいなと思っていたので、よしとしよう!

WordPress プロジェクトのこれから

 
WordPress in 2018 / 2018年の WordPress
AMA: Mike Schroder, Jon Ang, and Noel Tock / WordPress のコア開発者・コミュニティリーダー・サービス開発者だけど質問ある?


レビューなど AI(マシーンラーニング)が活躍する仕組みが今後できるでしょうね、そうですよね〜などの質問が印象的だった。
# 検討はされているようですが、まぁいろいろ課題はあるでしょうけど、もし実現できるなら面白そうですね。

【基調講演】wp_next_step – WordPressの次のステップ




世界でみた WordPress 日本語版利用は 6% 。これは結構多い数字だ。
WordPress Foundation は NGOなどのサイトを作成支援するために、そういったサイト作成に直接予算を支援するのではなく、そういったサイトを支援するハッカソン運営に対して支援することで、間接的に支援してる。

WordCamp Asia に向けて
 2019年あたりにタイやシンガポール?そういった議論をされているということ。

暗黒面の拡大
 オープン Webの衰退
  Google AMP、Facebook の Instant Article のように WordPress にアクセスせずにコンテンツを他のアプリ内で開いて閉じるを完結できる。つまりアプリで見ることが多くなってきているのでウェブサイトそのものを見に行くことは減っていく、それが オープン Webの衰退と言えないかということ。

光明
 ウェブサイトを見ることは減っていくかもしれない。しかし「コンテンツ」はなくならない。
 WordPressは 単なるコンテンツ・マネジメント・システムではなく、 Publising Democratization としてのツールとして利用されていくのではないか?
# このあたりちょっと聞きそびれたので、大体そういう感じかなぁという程度。

という感じであっという間に終わった一日目でした。
筆者は明日のコントリビューターDAYにも参加します。
ただ台風が17日夕方には関西に上陸しそうなので早めに帰らないとやばいかなぁとか思ってます。。。。

いずれにしても、そのときのことはまた別記事にて紹介できればと思っています!

2017年9月16日 @kimipooh

0 件のコメント:

コメントを投稿